La Legge 90 sulla Cybersicurezza, entrata in vigore il 17 luglio 2024, introduce una serie di misure volte a rafforzare la sicurezza informatica a livello nazionale.
Ecco alcuni dei principali punti della normativa:

📅 RIFERIMENTI TEMPORALI:

Il 17 luglio è entrata in vigore la legge sulla cybersecurity, recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” (L. 28 giugno 2024, n. 90 o “Legge Cybersicurezza”), pubblicata in Gazzetta Ufficiale il 2 luglio 2024.

🎯 OBIETTVO DELLA NORMA:

• Rafforzare la sicurezza informatica della pubblica amministrazione e di altri soggetti specificamente individuati;
• Equiparare le previsioni che saranno recepite con la Direttiva NIS 2 anche alle pubbliche amministrazioni e alle società in house.

👥 🏭 SOGGETTI INTERESSATI ALL’APPLICAZIONE DELLA LEGGE: 

• Pubbliche amministrazioni centrali individuate ai sensi dell’articolo 1, comma 3, della L. 196/2009;
• Regioni e Province autonome di Trento e di Bolzano;
• Città metropolitane;
• Comuni superiori a 100.000 abitanti e, comunque, i comuni capoluoghi di regione;
• Trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti e trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;
• ASL
• Società in house di sevizi informatici, servizi di trasporto e di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali.

Alcune disposizioni della Legge Cybersicurezza si applicano anche nei confronti di:

• Soggetti alla Direttiva NIS1 e NIS2, che dovrà essere recepita entro il 17 ottobre 2024;
• soggetti sottoposti all’osservanza della normativa relativa al perimetro di sicurezza nazionale cibernetica di cui alla L. 133/2019;
• imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico ai sensi dell’art. 40, comma 3, D. lgs. 259/2003.

⏳ QUALI SONO LE TEMPISTICHE DI NOTIFICA DEGLI INCIDENTI INFORMATICI?

2 differenti tempistiche:  per la SEGNALAZIONE e per la NOTIFICA.

La segnalazione degli incidenti entro 24 ore dal momento in cui se ne viene a conoscenza,
nelle successive 72 ore occorre effettuare la notifica completa di tutti gli elementi informativi disponibili,
seguendo le procedure disponibili nel sito internet istituzionale di ACN.

🔧 QUALI SONO LE TEMPISTICHE PER RISCONTRARE LE SEGNALAZIONI DI ACN?

• ENTRO 15 GIORNI in caso di vulnerabilità segnalate da ACN, si deve provvedere all’adozione degli interventi risolutivi indicati dalla stessa ACN, salvo l’irrogazione di sanzioni

SANZIONI APPLICATE in caso di mancata o ritardata adozione degli interventi risolutivi salvo che il soggetto comunichi tempestivamente ad ACN le esigenze di natura tecnico-amministrativa che ne impediscano l’adozione o che ne comportino il differimento oltre il termine indicato.

SE NON SI OSSERVA TALE OBBLIGO ACN invierà una comunicazione all’operatore, avvisando che il reiterato inadempimento nell’arco di 5 anni comporterà l’applicazione della sanzione amministrativa pecuniaria da un minimo di 25.000 euro a un massimo di 125.000 euro.

👩🏻‍🔧 FIGURE PREVISTE DALLA NORMA 

Occorre istituire una struttura preposta alla cybersicurezza che si occupi di:
– sviluppo delle politiche e delle procedure di sicurezza delle informazioni,
– redazione e aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture,
– monitoraggio e valutazione continua delle minacce.

Occorre individuare un REFERENTE per la cybersicurezza, con specifiche e comprovate professionalità e competenze in materia di cybersicurezza, il cui nominativo deve essere comunicato ad ACN con cui diventa punto di contatto unico dell’amministrazione.

Non sono tenuti ad istituire la suddetta struttura gli organi dello Stato preposti alla prevenzione, all’accertamento e alla repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica, alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza nonché i soggetti sottoposti all’osservanza della Direttiva NIS e della normativa relativa al perimetro di sicurezza nazionale cibernetica, cui continuano ad applicarsi gli obblighi previsti dalle norme di riferimento.

🔖 GLI STANDARD DI SICUREZZA DA PREVEDERE NEI CONTRATTI PUBBLICI

La legge stabilisce che i contratti pubblici per beni e servizi informatici debbano rispettare specifici requisiti di cybersicurezza, definiti tramite un decreto della Presidenza del Consiglio dei Ministri, da adottarsi entro 120 giorni dalla data di entrata in vigore della Legge Cybersicurezza, su proposta di ACN. L’OBIETTIVO è ridurre il rischio di vulnerabilità e garantire la protezione delle infrastrutture digitali critiche.

📌IL RISPETTO DELLE LINEE GUIDA SULLA CRITTOGRAFIA

Un altro obbligo introdotto è quello di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che impieghino soluzioni crittografiche, rispettino le linee guida sulla crittografia e quelle sulla conservazione delle password adottate da ACN e dal Garante per la protezione dei dati personali [disponibili qui >>> https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9962384] e non contengano vulnerabilità note.

👩🏻‍⚖ INASPRIMENTO DELLE SANZIONI 

Sono inasprite le pene per alcuni reati informatici (quali l’accesso abusivo a sistemi informatici, la diffusione di malware) e introdotte nuove fattispecie di reato:  come l’estorsione informatica.
Obiettivo: arginare la crescente diffusione degli attacchi informatici di tipo ransomware e il dilagare dei pagamenti dei riscatti richiesti dalle organizzazioni criminali.

📯 ENTRATA IN VIGORE DELLA LEGGE CYBERSICUREZZA

La legge è entrata in vigore il 17/07/2024, pienamente operativa da subito solo per pubbliche amministrazioni centrali, regioni, province autonome di Trento e di Bolzano e città metropolitane.
Per gli altri soggetti, l’applicazione dei nuovi obblighi di notifica degli incidenti è differita al centottantesimo giorno successivo alla data di entrata in vigore della legge: a gennaio 2025

***

Queste disposizioni mirano a creare un quadro normativo robusto per prevenire e affrontare le minacce informatiche, proteggendo così infrastrutture critiche e dati sensibili in Italia.